פגיעויות בתוכנה הן נקודות חולשה שיכולות לגרום לכשל מערכת מקרי או להוביל לפעילות זדונית. מידע נוסף זמין במאמר בנושא דוחות על פגיעויות.
במאמר הזה מוסבר איך להגדיר מכונות וירטואליות באמצעות VM Manager ואיך לצפות בדוחות הפגיעות של מערכות ההפעלה.
לפני שמתחילים
- בודקים את המכסות של OS Config.
- מגדירים את VM Manager.
- כדאי לעיין בהגבלות על ניהול מלאי שטחי פרסום במערכת הפעלה.
-
אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות.
אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:
צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:
המסוף
כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS
gcloud
-
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
gcloud init
-
- הגדרת אזור ותחום כברירת מחדל
REST
כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם.
מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .
מערכות הפעלה נתמכות
רשימה מלאה של מערכות הפעלה וגרסאות שאפשר לקבל עבורן דוחות פגיעות באמצעות VM Manager זמינה במאמר פרטים על מערכות הפעלה.
תפקידים והרשאות נדרשים
כדי לקבל את ההרשאות שדרושות לצפייה בדוחות על נקודות חולשה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:
-
כדי לצפות בדוחות על פגיעויות באמצעות ה-CLI של gcloud או API:
צפייה בדוחות על פגיעויות ב-OS Config (
roles/osconfig.vulnerabilityReportViewer) -
כדי להציג דוחות על פגיעויות באמצעות Cloud de Confiance המסוף:
- צפייה בדוח פגיעויות בהגדרות מערכת ההפעלה (
roles/osconfig.vulnerabilityReportViewer) - צפייה במלאי מערכות ההפעלה (
roles/osconfig.inventoryViewer)
- צפייה בדוח פגיעויות בהגדרות מערכת ההפעלה (
-
כדי לראות את פרטי ה-CVE בתיבת הדו-שיח VM instance details בדף Patch:
- צפייה בפריסת תיקונים (
roles/osconfig.patchDeploymentViewer) - צפייה במשימות תיקון (
roles/osconfig.patchJobViewer)
- צפייה בפריסת תיקונים (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
בנוסף לתפקידים האלה, כדי לגשת למשאבי Compute Engine באמצעות מסוף Cloud de Confiance , צריך להיות לכם תפקיד שמכיל את ההרשאה compute.projects.get בפרויקט.
צפייה בדוחות על נקודות חולשה
כדי להציג דוחות על פגיעויות, אפשר להשתמש באחת מהאפשרויות הבאות:
- משתמשים במסוףCloud de Confiance , ב-CLI של gcloud או ב-API.
- אם אתם משתמשים במסלול Security Command Center Premium, אתם יכולים להשתמש במרכז הבקרה של Security Command Center.
- שימוש במאגר משאבי הענן.
הצגת דוח פגיעויות באמצעות ה-CLI של gcloud או ה-API
אפשר להשתמש באחת מהשיטות הבאות כדי לראות דוחות על פגיעויות במכונות הווירטואליות.
המסוף
כדי להציג דוחות על פגיעויות במערכת ההפעלה של מכונה וירטואלית באמצעות מסוף Cloud de Confiance , פועלים לפי השלבים הבאים:
- נכנסים לדף VM instances במסוף Cloud de Confiance .
- לוחצים על שם המכונה שרוצים לראות את פרטי מערכת ההפעלה שלה. ייפתח הדף Instance details (פרטי המכונה).
- לוחצים על הכרטיסייה פרטי מערכת ההפעלה.
כדי לראות את נתוני המלאי של מערכת ההפעלה, צריך להפעיל את VM Manager. אם Cloud de Confiance מוצגת בקונסולה בקשה להפעיל את VM Manager, בוחרים באחת מהאפשרויות הבאות:- Enable for current project (הפעלה בפרויקט הנוכחי): מפעיל את VM Manager בכל המכונות הווירטואליות בפרויקט שנבחר.
- הפעלה במכונה הווירטואלית הזו: הפעלה של VM Manager רק במכונה הווירטואלית שנבחרה
- בודקים את רשימת נקודות החולשה במערכת ההפעלה בכרטיסייה פרטי מערכת ההפעלה.
gcloud
כדי לראות דוחות על פגיעויות במכונות וירטואליות באזור מסוים, משתמשים בפקודה
os-config vulnerability-reports list.לדוגמה, כדי לראות את רשימת כל המכונות הווירטואליות שיש להן נתוני מלאי, מריצים את הפקודה הבאה:
gcloud compute os-config vulnerability-reports list \ --location=ZONE
מחליפים את
ZONEבאזור שבו נמצאת המכונה הווירטואלית.דוגמה
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
פלט לדוגמה
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
כדי להציג דוח פגיעויות של מכונה וירטואלית ספציפית, מריצים את הפקודה
os-config vulnerability-reports describeומציינים אתINSTANCE_IDשהוחזר בשלב הקודם או אתINSTANCE_NAME.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
מחליפים את מה שכתוב בשדות הבאים:
-
VM_NAME: השם של מכונת ה-VM -
ZONE: האזור שבו נמצא המופע של המכונה הווירטואלית
דוגמה
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
פלט לדוגמה
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
-
REST
כדי לראות דוחות על נקודות חולשה במכונות וירטואליות באזור מסוים, שולחים בקשת
GETאל ה-methodprojects.locations.instances.vulnerabilityReports.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/-/vulnerabilityReports
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ZONE: האזור שבו נמצאות המכונות הווירטואליות
-
כדי לראות דוח פגיעויות של מכונה וירטואלית ספציפית, יוצרים בקשת
GETאל ה-methodprojects.locations.instances.getVulnerabilityReport.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ZONE: האזור שבו נמצא המופע של המכונה הווירטואלית -
INSTANCE: מציינים את מזהה המכונה או את השם של מכונת ה-VM
-
הצגת דוחות פגיעות באמצעות מרכז הבקרה של Security Command Center
Security Command Center הוא שירות מרכזי לדיווח על נקודות חולשה ואיומים ב- Cloud de Confiance by S3NS.
אם אתם משתמשים ב-Security Command Center במסלול Premium, אתם יכולים לגשת לנתונים של דוחות נקודות חולשה במערכות ההפעלה שפועלות במכונות וירטואליות בארגון. בדף Findings בלוח הבקרה של Security Command Center, אפשר לעיין במזהי נקודות החולשה הנפוצות והחשיפות (CVE) של נקודות חולשה שמסווגות כחמורות ברמה HIGH או CRITICAL.
מידע על שימוש בלוח הבקרה של Security Command Center כדי לגשת לנתוני פגיעות של מערכת ההפעלה ולבדוק אותם זמין במאמר בנושא VM Manager.
צפייה בנתונים של דוחות פגיעויות ממאגר משאבי הענן
ניהול מלאי מערכות הפעלה מאחסן נתונים של מלאי ודוחות פגיעויות ומעביר אותם אל מאגר משאבי ענן (CAI). מאגר משאבי ענן הוא שירות מלאי של מטא-נתונים שמאפשר לכם להציג, לעקוב ולנתח נכסים ב- Cloud de Confiance by S3NS. ממאגר משאבי הענן תוכלו לאחזר את המידע ולראות את השינויים בנתונים.
כדי לגשת לנתונים של דוחות מלאי מערכות הפעלה ופגיעויות ממאגר משאבי הענן, צריך להשלים את ההגדרה הבאה:
- מגדירים את VM Manager.
- ב Cloud de Confiance פרויקט, מפעילים את Cloud Asset Inventory API, את Google Cloud CLI ומקצים הרשאות.
מידע נוסף זמין במאמר בנושא צפייה בנתונים של VM Manager.
מידע על צפייה בדוחות פגיעות בארגון זמין במאמר צפייה בדוחות פגיעות בארגון באמצעות Cloud Asset Inventory ו-BigQuery.